datenschutz on Leander's Blog

Was kommt nach 12282? Richtig: Sehr viele Daten!

Mon, 01 May 2023 12:44:57 +0200

Ich habe zwei Firmen gefunden, die beide von derselben “Schwachstelle” betroffen waren:

Der Mensch und sein Verlangen, eine fortlaufende Nummer zu verwenden, obwohl fortlaufende Nummern nicht verwendet werden sollten.

Also nach 1 kommt 2, dann 3, 4, 5, … und so weiter. Durch so eine fehlerhafte Implementierung konnte man theoretisch hunderte, vielleicht sogar tausende von personenbezogene Daten von Fahrrad Wien illegal abgreifen. Aber was ist überhaupt passiert?

Disclaimer:

@everyone: Nicht zuhause nachmachen, alles von Profis (mir) gemacht. 👷‍♂️

Fahrrad Wien hat die Lücke nach Meldung umgehend geschlossen ✅

Von Anfang an ⏮️

Im November 2022 beginnt unsere Geschichte: Ich möchte mir ein Grätzlrad in Wien ausborgen.

Das ist so ein Grätzlrad. Sind echt cool zum Ausleihen (und sogar gratis!) 🚴🚴🚴

Ein Rad zu reservieren geht über das Online-Portal relativ leicht und schnell. Danach erhält man eine Bestätigungsmail in der u.a. nochmal drinnen steht, wo und wann man sich das Rad abholen kann.

Aber warte, was ist denn das für ein Link in der Bestätigungsmail? 🧐

https://www.graetzlrad.wien/ics/?entry-id=12282

Nett 😄 Drückt man auf den Link, wird ein Download gestartet. Man lädt dann eine iCal-Datei¹ runter, welche, wenn man sie am Handy öffnet, direkt in deiner Kalender-App geöffnet wird.

Aber warte mal, warum steht denn da mein Name!? 😳😳😳

Dann hab ich die Datei im TextEditor meines Vertrauens geöffnet (Vim 🙏) und mir das genau angeschaut:

BEGIN:VCALENDAR
VERSION:2.0
PRODID:-//hacksw/handcal//NONSGML v1.0//EN
METHOD:PUBLISH
CALSCALE:GREGORIAN
X-WR-TIMEZONE:Europe/Vienna
BEGIN:VEVENT
SUMMARY:Grätzlrad Währing: Leander Götz 👈😳🤨
DTSTART:20221104T140000
DTEND:20221104T170000
DESCRIPTION:Grätzlrad Währing: Leander Götz
DTSTAMP:20230220T173616
UID:63f3af90137eb
END:VEVENT
END:VCALENDAR

Oh no, Datenleck incoming 😨

Die Schwachstelle

Also anscheined dachte sich jemand bei Fahrrad Wien bzw. der angeheuerten Firma für diesen Auftrag, dass es eine gute Idee ist, wenn der ganze Name indem Kalender-Event steht, weil man ja selber nicht weiß, wie man heißt, i guess???²

Und jetzt muss man sich nur kurz den oben genannten Link anschauen:

https://www.graetzlrad.wien/ics/?entry-id=12282

Das einzige, was mein personalisiertes Kalender-Event von jedem anderen Kalender-Event unterscheidet ist…

Eine 5-stellige Zahl am Ende des Links (12282)

(Keine Pointe) 😔

Ich kann also munter auf die Kalender-Events für 12281 (-1) oder 12283 (+1) kommen, indem ich einfach den Link verändere. Und da der Name der Personen in der Datei selbst angegeben ist, kann ich jetzt super alle Daten aller Grätzlrad-Nutzer*innen der letzten Jahre abgrasen! 😟

🤓 ☝️ Die haben aber sicher einen Schutz, dass man nicht 1000 Anfragen schicken kann, das würde denen sicher auffallen!

No, they don’t 😦

Habe es getestet, indem ich in sehr unmenschlichem Tempo einige hundert Einträge rauf und runter angefragt habe:

Ich wurde kein einziges Mal geblockt 😔

Meldung des Problems

Auf jeden Fall hab ich das ganze dann versucht, zu dokumentieren und zu melden. Über die Weihnachtstage habe ich kurz darauf vergessen, aber im März war ich dann soweit, einen fertigen Bericht an die Mobilitätsagentur (Mama von Fahrrad Wien) zu schicken.

Noch am selben Tag wurde das Kalender Feature ausgestellt 😄

Von einer Beschwerde bei der Datenschutzbehörde habe ich abgesehen. Dafür fehlt mir die Energie/ die Ressourcen und ich mag die Leute von der Mobilitätsagentur eigentlich gerne 😘

@Fahrrad Wien/ Mobilitätsagentur: Folgt mir mal auf Twitter!

iCal ist cool ↩︎
????????????????????? ↩︎

🎄Ich hab Ferien, die Datenschutzabteilungen aber nicht!🎄

Thu, 22 Dec 2022 12:40:12 +0100

Ich wünsche euch allen schöne gesetzliche Feiertage, ausgiebige Familienfeste und besinnliche Stammtischgespräche mit euren Großeltern (lol)

Eigentlich hatte ich für diesen Advent geplant, jeden Tag eine Auskunftsanfrage an eine Firma zu schicken. Wie es aber nun mal so ist im Leben, hatte ich wenig Zeit dafür (😔)und mache nun dass, was wohl jeder Student kennt:

Kurz vor Ende der Frist erst richtig anfangen zu arbeiten 😄

Daher schicke ich in den Tagen vor Weihnachten insgesamt 24 Anfragen per Mail raus. Unter den Glücklichen befinden sich unter anderem:

Instagram 😈
Snapchat 👻
Google 🙈
Reddit 🧔
Die Post AG 📨
Meine Bank 🤑
Paypal 💰
AliExpress 🇨🇳
ÖGK 🧑‍⚕️
Mjam (ich war mal Fahrer dort!) 🚴
Stadt Wien 🇦🇹
GMX 📫

und noch viele mehr!

Es war ein tolles 2022, mal schauen was 2023 zu bieten hat!

und danke an ALLE die diese Zeilen hier lesen 🙏

für euch mach ich das hier ❤️

Man sieht sich ✌️

When life gives you Lime, make a Datenschutzauskunft

Fri, 14 Oct 2022 09:36:08 +0200

Ich bin das letzte halbe Jahr viel E-Scooter gefahren. Mein Hauptanbieter war Lime. Da kam mir eines Tages beim Prokrastinieren folgende Idee: Wieviel speichert Lime über mich ab und was wissen diese irischen E-Mobilitäts-Pioniere noch über meine nächtlichen Odyssen? Das und ein paar lustige Fotos habe ich in diesem Blog zusammengetragen.

Aller Anfang ist die DSGVO §15

Ich habe mit dem Online-Tool MyDataDoneRight von NOYB¹ mein Auskunftsschreiben “erstellt”.

Das Tool kann ich nur weiterempfehlen, wer weiß, was so manch andere Firma noch über dich gespeichert hat?

Für meine Auskunft musste ich folgendes im weiten, weiten Internet finden:

Firmenname
Firmensitz 🏢
E-Mail-Adresse der lime’schen Datenschutzabteilung 📧

Den fertigen Text habe ich mir als PDF runtergeladen und noch schnell Handy-signiert, dann ging es auch schon in den irischen Posteingang.

Die Mühlen der irischen Datenschutzabteilungen mahlen langsam

Ich habe meine Anfrage am 11. September 2022 abgeschickt 😄

Antwort kam am 11. Oktober 😔

Das lag aber vielleicht auch daran, das ich (als echter Patriot 😉🇦🇹) in meiner Anfrage betont hatte, dass ich das Antwortschreiben gerne auch auf DEUTSCH hätte.

Das Lime Legal Team hat dann in der Antwort-E-Mail etwas gemacht, was man in der Informatik einen Hotfix² nennt:

🗿 Sie haben die Mail einfach mit Google-Translate übersetzt (stand dabei) 🗿

Das eigentliche Antwortschreiben hoffentlich nicht tho 🤕

Lime hat sich anscheinend auch schon mit Nachhaltigkeit im Büro auseinandergesetzt und interessante Denkanstöße geschaffen, z.B: Wieviele Tonnen Druckerfarbe werden jährlich für das Drucken von Umlaut-Punkten (ä,ö,ü) verschwendet?

Vielleicht haben Sie deswegen konsequent statt Götz nur Gotz geschrieben - oder der arme Praktikant wird nicht genug fürs Umlaut-Copy-Pasten bezahlt 🤔

Anyways, was war drinnen in der Antwort?

Neben dem “Letter to Mr Gotz.pdf” waren auch noch 4 passwortgeschützte Excel-Files in der Antwort-E-Mail.

Die habe ich dann sofort in LibreOffice Calc geöffnet - Microsoft kann mich mal 😄

Let’s do statistics 📊

Die vier Dateien im Anhang hießen so:

TRIPS.xlsx
PAYMENTS.xslx
USER EVENTS.xsls
PROFILE.xsls

Die Dateinamen erklären den Inhalt sehr gut, ich habe mir vor allem TRIPS und USER EVENTS angeschaut.

Ich habe dann ein wenig Statistik-Dings-Bums drüber laufen lassen und das ganze zusammengefasst à la Galileo-Style x Spotify Wrapped:

Let’s leave the boring stuff behind 🥱

Der eigentlich Grund, wieso ich diese Auskunft gemacht habe, ist nämlich folgender:

Man muss am Ende JEDER Fahrt ein Foto von seinem (hoffentlich richtig) geparkten E-Scooter knipsen 📸

Ich wollte wissen, ob Lime die Bilder wirklich aufhebt…

They do! 🤩

# die urls schauen ungefähr so aus
"https://limebike-api.s3.us-west-2.amazonaws.com/trip/end_trip_bike_image/b27241b2-***************************.jpeg"
"https://limebike-api.s3.us-west-2.amazonaws.com/trip/end_trip_bike_image/65a56883-***************************.jpeg"

In null Komma nichts war mein Download-Script schon fertig und ich wurde mit 89 Fotos belohnt.

Diese kannst du hier anschauen ⬇️

KFZ-Kennzeichen stellen tatsächlich ein personenbezogenes Datum dar³, daher die Zensierung

NOYB = None Of Your Business (genialer Name!) ↩︎
Wikipedia sagt dir, was ein Hotfix ist ↩︎
Unternehmensservice hat gesprochen ↩︎

Schulen und Datenschutz vertragen sich nicht

Fri, 10 Jan 2020 00:00:00 +0000

Wenn du in den letzten 10 Jahren eine österreichische Schule besucht hast, warst du ziemlich sicher schon in Kontakt mit den Produkten dieser Firma:

WebUntis

Das Unternehmen ist primär für ihre Online-Stundenplan-Software und diverse Sicherheits-Lücken¹ bekannt. Wenn man sich den Bug-Report genau anschaut, sieht man, dass deren Security-Management mit diesen Dingen eher leger umgeht: Fast ein halbes Jahr dauert es, bis eine einfache XSS-Attacke gefixt wird.

Doch trotz all dem ist WebUntis ein erfolgreiches Unternehmen, mit Sitz in der Gemeinde Stockerau und mehr als 100² Mitarbeiter*innen und Kunden aus aller Welt.

Dennoch gibt es ein paar Dinge, die mich an dieser monopolistischen Firma stören.

Schul-Administrator:innen sind auch nur Menschen

Schulen zu administrieren muss der Horror sein. Kolleg:innen vergessen ihre Passwörter andauernd, Daten müssen erfasst, bearbeitet oder gelöscht werden und man muss den ganzen Tag mit schrecklichen MS-Office Programmen wie Excel(😔) oder Word(🤮) arbeiten.

Dafür wirklich mein herzliches Beileid ❤️

Aber dennoch darf man gewisse Fehler einfach nicht machen!

Ich gehe davon aus, dass manche einfach die Manuals nicht gelesen haben, oder WebUntis nicht ausreichend auf die gravierenden Konsequenzen mancher Setting-Einstellungen hingewiesen hat. WebUntis hat aber auf jeden Fall kein “Security by Design” aber dazu an späterer Stelle mehr.

Was ist jetzt das Problem?

Eine fälschlicherweise angeklickte Checkbox gefährdet den Datenschutz hunderter Minderjähriger massiv.

Betroffen sind meines Wissensstandes nach 3 Schulen in und im Umkreis von Wien. Es sind die Stundenpläne der Schüler:innen einsehbar und es können dadurch

Klasse 🤨
Vor- und Nachname 🤨🤨
Schulzeiten und Wahlfächer 🤨🤨
Religionsbekenntnis (anhand des Religions-Unterrichts) 🤨🤨🤨

ausgelesen werden.

An dieser Stelle möchte ich erwähnen, dass ich hier keinen schicken Code-Block einrücke und zeigen werde, wie ich es gemacht habe.

Dafür habe ich verschiedene Gründe:

Der Fehler wurde bis heute (1.1.2022) nicht behoben.
Es geht um Daten von ca. 1800 Schüler:innen.
Das ist kein “Ins-Gefängnis-kommen Speedrun”!

Gut, da jetzt alle Daten-Kraken weg sind: Ich werde aber schon zeigen, dass das Sicherheitskonzept von WebUntis einfach 💩 ist.

Enjoy! 😁

Ich seh, ich seh, was du auch siehst 👁️

Bei meiner Schule war es so, dass wenn ein Nutzer sich in WebUntis eingeloggt hatte, dieser Nutzer auch die Stundenpläne aller anderen der selben Nutzergruppe sehen konnte. Ich dachte lange Zeit, dass ist nur auf die Inkompetenz unserer überarbeiteten Administration zurückzuführen - aber

anscheinend ist das bei fast jeder Schule so! ³

Das ist ist natürlich 💩-Design, weil es so Hacker:innen gelingen könnte, durch einen einzigen gehackten Account, an die Daten von allen anderen Nutzer:innen zu kommen.

Und da an vielen Schulen der Login meist wie folgt ausschaut, ist das gar kein so abwegiges Angriffsszenario:

    # Schüler: Maximilian Mustermann (10.10.2001)
    Username: "must.max"
    Password: "20011010"

Natürlich gibt es viele Variationen für diese Credentials, jedoch wird in manchen Elternbriefen zum Schulanfang ganz klar gezeigt, wie es geht:

LOL. 😐

Und ich bin mir sicher: es wird Schüler:innen geben, die ihr Standard-Passwort nicht ändern. Mit ein wenig OSINT-Recherche⁴ lässt sich da sicher ein gutes Opfer finden…

Jetzt ist es aber so:

Man sieht nur Nutzernamen, keine Klarnamen! 😮

Doch leider hat WebUntis hier richtig was versemmelt

Man kann nämlich bei jedem Stundenplan eine print-Funktion aufrufen. An und für sich keine schlechte Sache:

Wenn man draufdrückt, öffnet sich ein neues Browser-Fenster (nicht Tab - Fenster) und der Stundenplan wird anscheinend “druckbarer” gerendert. Ein PDF entsteht dabei tatsächlich nicht, das ist reines HTML.

Und siehe da, was ist denn das? …Doch etwa kein… Klarname?!

Keine Pointe, WebUntis ist 1 Witz!

Der Bug-Report ↩︎
Steht zumindest auf ihrer Website ↩︎
Hab ich mir von vielen Mitmenschen bestätigen lassen - not scientific! ↩︎
Open-Source-INTelligence - FBI für Arme! ↩︎